Een paar jaar geleden kon je hier op MacFreak al lezen dat je op have i been pwned? kon nakijken of jouw wachtwoord ook buitgemaakt was bij de hacks van onder andere Yahoo, Adobe, Dropbox en LinkedIn.

Die site pakte het allemaal nog erg netjes aan. Als je daar een mailadres invult in hun zoekmachine waarvan het wachtwoord eerder werd buitgemaakt dan krijg je daar een melding van, met raad wat je er aan kan doen. Maar langzaam maar zeker komen er steeds meer van dit soort zoekmachines bij, die zijn niet allemaal zo netjes en de databases worden steeds groter.



Een relatief onschuldig voorbeeld daarvan is Gotcha?, een zoekmachine met een database van maar liefst 1,4 miljard gestolen wachtwoorden. Wat minder netjes omdat die de eerste twee tekens van een gevonden wachtwoord laat zien, waardoor kwaadwillenden die ook al in handen kunnen hebben.

Maar we raden toch iedereen aan om Gotcha? te gebruiken, want het bestaan van deze database met wachtwoorden betekent natuurlijk ook dat de kans dat kwaadwillenden die in handen hebben of krijgen almaar groter wordt. Je kan bij Gotcha? trouwens ook zoeken op site, een paar voorbeelden daarvan zie je in de schermafbeelding hierboven.

Dit is nog urgenter geworden omdat er inmiddels al variaties van Gotcha? bestaan die het hele wachtoord laten zien, waardoor accounts die daarin staan inmiddels kinderlijk makkelijk te benaderen zijn.

Kies een goed wachtwoord

In het verleden werd vaak aangeraden om in wachtwoorden zoveel mogelijk vreemde tekens te gebruiken in combinatie met willekeurige letters, bijvoorbeeld RFu>Vmv,\#%svr5!, de meeste online password generators doen het op dit manier.

Wij raden aan om liever een wat langer wachtwoord te gebruiken, maar dan eentje die je makkelijk kan onthouden, en natuurlijk per site een andere. Bij de belastingdienst bijvoorbeeld 1000-denEurosAanJullieBetalenDoeIkLieverNiet.

Daarbij mag je tegenwoorden op veel plekken trouwens ook spaties gebruiken, in dat geval kan je dus "1000-den Euros Aan Jullie Betalen Doe Ik Liever Niet". Meestal is er maar één hoofdletter verplicht, dus je zou ook kunnen kiezen voor "1000-den Euros aan jullie betalen doe ik liever niet".

Wachtwoorden onthouden

Als je voor iedere site een ander wachtwoord gebruikt dan moet je er natuurlijk al snel erg veel onthouden. Apple heeft daarvoor de optie om Sleutelhangertoegang die te laten bewaren, bij het aanmaken van een wachtoord zal Safari bijna altijd automatisch vragen of je die wilt bewaren (of dat wel of niet gebeurd is ok afhankelijk van de site).

Heb je ook andere devices in gebruik dan zal je naar een andere oplossing moeten kijken, die ook op meerdere platformen werkt. Eén van de meest populaire daarvan is 1Password.


Het nieuws op MacFreak wordt gesponsord door Upgreatest (ssd upgrades op locatie)

Bij Dropbox zijn nooit wachtwoorden buitgemaakt. Enkel mailadressen + hashes (of zoiets) die ook nog eens encypted waren. ☝️

Verder zou ik nooit iemand aanraden om zijn/haar mailadres op dit soort sites in te typen. De kans dat jij in dit lijstje voorkomt is serieus zo vreselijk klein (nog nooit iemand gezien met een positieve match) terwijl je totaal niet weet of ze je mailadres opslaan voor de toekomst.

Verder zou ik nooit iemand aanraden om zijn/haar mailadres op dit soort sites in te typen.

Goed punt, je weet inderdaad nooit waar ze het voor gebruiken. https://haveibeenpwned.com vertrouw ik wel, die bestaat al lang en is open over z'n werkwijze. Mijn email adres komt daar wel degelijk in voor trouwens (met 5 verschillende 'breaches', oa Adobe, Dropbox en Plex) dus bij deze heb je iemand gevonden met een match .

@ Shmoo: maar hoe wil je er dan achter komen of jij je wachtwoorden aan moet passen, al mijn wachtwoorden aanpassen zonder aanleiding is bijna niet te doen. Geen theoretische vraag trouwens, net zoals boiing kom ik mezelf daar ook tegen.

Nog een gedachte: als ik daar mijn mailadres invul en daarna mijn wachtwoorden aanpas, wat hebben ze dan aan dat mailadres? In spam-lijsten zit ik allang.

Ik vertrouw op 1Password, waar ik standaard vanuit ga dat ze 800 keer meer kennis en ervaring hebben dan ik zelf heb op dit gebeid. Zij zijn immers dagelijks met dit soort zaken bezig, omdat dit hun werk is. Als er iets fout gaat dan pushen zij (als het goed is) een notificatie via de Wachttoren functie en dan krijg jij een melding dat er iets aan de hand is. Het voordeel is dat 1Password nooit notificaties stuurt voor het een of ander, als je dus ooit een notificatie krijgt dan weet je 100% zeker dat er iets aan de hand is. Verder, volg ik het bedrijf ook nog op Twitter waar ze ook belangrijk nieuws posten dus de kans dat ik iets mis is denk ik best wel klein.

---

Ik verander nooit mijn wachtwoorden periodiek, daar geloof ik niet zo in wanneer je een generator gebruikt. ...of ik moet toevallig andere instellingen op een account wijzigen dan wil ik nog wel eens een wachtwoord veranderen. Ik laat 1Password altijd een wachtwoord genereren van minstens 28 tekens of meer. Het ligt eens beetje aan de site/dienst want er zijn heel erg veel sites die max. 16 tekens hebben of zoiets doms.

Volgens 1Password moet dat voldoende zijn want zij verwijzen altijd naar deze tabel, waar je echt wel even naar moet kijken voordat je het doorhebt.  .... En ja ik geloof best dat er online Jaapies zijn die het allemaal beter weten en precies kunnen vertellen wat het beste wachtwoord is maar ik ben niet op zoek naar het beste wachtwoord ik wil gewoon veiligheid. Ik gebruik nu 1Password sinds 2012 (uit mijn hoofd) en zou geen dag meer zonder willen en kunnen.
https://us.v-cdn.net/5020219/uploads/editor/p7/iqya38sb91t4.png

Ik ben nog nooit in de problemen geweest en ik had vroeger echt een teringhekel aan 2FA services. Steeds je wachtwoord invullen en dan normaal een code. Dat was zo irritant, totdat ik vorig jaar ontdekte dat dit gewoon in 1Password gebouwd zit. Je kunt dan automatisch inloggen zoals je dat normaal doet. Je bezoekt een site en druk op CMD + / (in mijn geval) dat logt je normaal in. Maar wanneer 2FA aanstaat genereert 1Password het controlegetal en plak dit op je klembord. Je hoeft dan alleen nog maar op CMD + V (plakken) te drukken en je bent ingelogd. Kortom, geen hand gaat van het toetsenbord terwijl 15 seconde later 1Password dat controlegetal ook weer van je klembord wist.

...

Maar goed, iCloud sleutelhanger is toch eigenlijk gewoon precies hetzelfde maar dan gratis, toch? 🤫

Maar goed, iCloud sleutelhanger is toch eigenlijk gewoon precies hetzelfde maar dan gratis, toch?

Nope. Sleutelhanger is een kluis voor je wachtwoorden maar het genereert helemaal niks. Een app als LastPassword en dergelijke genereert ook wachtwoorden.

Ik heb voor alle externe zaken nu voor 95% verschillende wachtwoorden. Alleen voor interne dingen zoals modem, router en NAS heb ik dezelfde wachtwoorden. Wijzigen met een app als LastPass is een koekje. Voor sommige websites kun je dat zelfs via de app doen.

Nope. Sleutelhanger is een kluis voor je wachtwoorden maar het genereert helemaal niks.

Toch wel, althans in ieder geval voor ww op websites.
Kijk maar:

Of is het Safari die het wachtwoord genereerd? Zo te zien wel.

Sleutelhanger is geïntegreerd in Safari. Beiden dus. Maakt het uit?

Verder zou ik nooit iemand aanraden om zijn/haar mailadres op dit soort sites in te typen.

Ik vertrouw op 1Password

Hoe kijkt 1Password na of jij in die database zit?

Via urls en web protocollen. Ze uploaden geen geven wachtwoorden of inloggegevens naar hun server om het daar te vergelijken een hun database.

Dit is eigenlijk een service die is ontstaan na het Heartbleed / OpenSSL probleem om meteen zoveel mogelijk mensen te waarschuwen. Zodra jij een url in 1Password zet of hebt staan die niet veilig is krijg je een melding. Het controleert niet of er een 100% match is met jouw gegevens.

Keychain kan wachtwoorden genereren, bv. in combinatie met Safari, maar doet dat alleen als je aangelogd bent bij iCloud...

Ik zie eigenlijk niet in waarom je niet zelf een paswoord zin kan verzinnen. Is dat nou echt zo moeilijk?

Paswoord zinnen zijn makkelijk te onthouden en makkelijk in te tikken. Het is dan ook geen probleem om een heel lang paswoord te gebruiken...

Er waren exploits voor 1password in 2015, 2016, 2017...

Toegeven, dit jaar nog niet.

Exploits... Klinkt altijd mooi zo'n algemene term.

Er liepen in dezelfde periode ook lekkere meiden door mijn straat en die zijn allemaal veilig thuis gekomen zonder zwanger te raken.

Sleutelhanger is geïntegreerd in Safari. Beiden dus. Maakt het uit?

Dit werkt niet voor niet-Apple software, dus ja, ik denk wel dat het uitmaakt.

Ik reageerde op: "Sleutelhanger ... maar het genereert helemaal niks"
En dat klopt niet.
Voor de rest: wat jij zegt.

Er is een API voor sleutelhanger. Die kunnen apps gebruiken voor het maken en opslaan van wachtwoorden. Sommige doen dat, andere niet.

De meeste apps gebruiken alleen opslag.

Chrome slaat bv. alle paswoorden voor 't net op in één aparte sleutelhanger. En dat doen ze dan nog op een erg onveilige manier, waardoor het uitlezen vanop 't net mogelijk wordt. Het verbaast me zelfs dat dat niet meer gebeurt...

Chrome kan ook paswoorden voorstellen, maar of dat uit de sleutelhanger komt, weet ik niet. Het wordt nauwelijks gebruikt.

Ik kwam mezelf ook twee keer tegen in deze zoekmachine, die wachtwoorden meteen aangepast. Bedankt voor de link.

En ik zie het bezwaar van het gebruiken van deze zoekmachine niet, ze kennen mijn mailadressen (kennelijk) toch al.

Ik ben redelijk kien op mijn wachtwoorden. Edoch is via LinkedIn mijn wachtwoord van 4 jaar gelden gelekt. Inmiddels heb ik reeds 4 x mijn wachtwoord daar veranderd in de afgelopen jaren. Ik gebruik 1Password in combinatie met Safari voor het genereren van een wachtwoord van 15 tekens. Ondertussen heb ik een kluis met 487 wachtwoorden en geen enkele is hetzelfde. en het wachtwoord wat gelekt is is al ruim 3 jaar niet meer in gebruik. En toch vind ik het wel vreemd dat een dergelijk oud wachtwoord bij een gerenommeerde website gelekt is.